Форум UPgrade

Всем привет!

Есть старая, страшная сеть. Никаких никаких управляемых коммутаторов, никакого L2. Только хабы.
Есть сервачок Windows Server 2003. Никаких доменов, просто проброс интернета, раздача IP-адресов и прочая мелочь.
В сети завёлся один урод, который донимает запросами сервер. Урод берёт чужой адрес, из-за чего постоянно генерятся ошибки. Поскольку сеть неуправляемая, вычислить урода проблематично.

Внимание, вопрос. Можно ли на уровне сетевого адаптера заблокировать все пакеты, исходящие от определённого MAC-адреса? Я хочу сделать так, чтобы сетевые пакеты от этого конкретного урода вообще не доходили до сервисов Windows Server 2003, а рубились прямо при поступлении в сетевуху.
Если можно, то как это сделать?

На уровне адаптера - нет. По крайней мере я не знаю. На уровне файрволла сервера - можно.

А служебку начальству накатать?

Abyrvalg писал(а):Поскольку сеть неуправляемая, вычислить урода проблематично.

А в чем проблема?
Если ты канальный адрес знаешь, нельзя машину найти, что ли?

Abyrvalg писал(а):В сети завёлся один урод, который донимает запросами сервер.

А какой характер запросов? И что значит донимает. У меня была ситуация, когда у секретарши завелся вирусок, который бомбил запросами сервер. Т.е. барышня конечно была виновата, в том, что слишком много времени проводила в одноклассниках и т.п. сетях, а так же слишком многим доверяла свой адрес аськи, но не в том, что она намеренно забивала сеть запросами (примерно 20 запросов в минуту %). Со стороны, это было очень похоже на DDOS атаку. Но так как атакующий был один, всех неприятностей от этого было в том, что замедлялся доступ к серваку у других пользователей, а так же у самой секретарши все сетевые дела ползали еле-еле.

Урод берёт чужой адрес, из-за чего постоянно генерятся ошибки.

Какие именно ошибки? И что значит берет? У вас машины сидят на DHCP или на фиксированных?

Я думаю, что проще всего поискать какой нить бесплатный (или ещё как) сниффер и вычислить его по маку. При дополнительной помощи mylanviewer или подобной и зная МАС адрес, пользователь вычисляется на раз. После этого, если имеет место явное нарушение произв. дисциплины, накатать служебку начальству и со спокойной совестью пойти спать.

И ещё. Если у пользователей административные права, то бан по маку не поможет. Есть куча софта, которые имитируют или клонируют чужие МАС адреса. Кроме того, индивидуальная борьба админа с юзерами, это не совсем правильно. Должна быть у каждого должностная инструкция, о том, что можно и нельзя. Ну и конечно же, не вы набираете людей на работу, поэтому не вам с ними разбираться. А вот предоставить руководству детальную и правильно аргументированную служебку - святое дело.

Al_lexx писал(а):Какие именно ошибки?

Быстрее всего, дублирование сетевого адреса, т.к. остальные имеют от сервера

Abyrvalg писал(а):раздача IP-адресов

какой нить бесплатный (или ещё как) сниффер

лучше всего wireshark

Каин с Авелем могут помочь в борьбе с "уродом"
http://www.securitylab.ru/software/232833.php

Спасибо всем за рекомендации!
MAC злодея я знал изначально. Но это не помогло, поскольку в нашей конторе никто не знает, где какие машины стоят. Это никак не регламентировано. Начальству писать бесполезно, оно отпингует ко мне же

В общем, я нашёл дырку, благодаря которой злодейская железка смогла заиметь IP-адрес, подождал, пока оборудование выключится, и закрыл эту дырку. При новом включении оно получило отлуп.

Abyrvalg
залезть на тачку нет возможности? RDP там, \\ip негодяя\с$\Documents and Settings - узнать кто?
А я б на Вашем месте назначил на DHCP ip адрес и на файрволе в ответ на его запросы выставил бы сообщение кто он. Можно назначить ему адрес типа 169.254.0.0
Стоп. А dns сервер ничего не говорит? Имя машины?

С уважением.

pst писал(а):Стоп. А dns сервер ничего не говорит? Имя машины?

А что он может сказать?

машина негодяя 192,168,1,24
Имя компьютера может дать какую-то информацию о расположении, если сможешь залезть на диск С: можно нарыть инфу о самом негодяе. потом высылать зондеркоманду.

pst писал(а):если сможешь залезть на диск С:

Если адрес есть, зачем имя?
Кстати, nmap может кое-что сказать

Кстати, есть классная программа autoscan-network

А что, разве что-то мешает пройтись по всем машинам со скриптом на флешече и найти ПК с нужным маком? Судя по описанию сети - она не такая уж и большая.

А что, если известен МАС-адрес и есть сетевой сканер, который выдает хост-имя пользователя (и не только), нужно обязательно идти по рабочим местам. Или там логины каждый день меняют?
Посмотрел сетку, выяснил что за машина/пользователь. Если лично не знаком, что более чем странно, в коллективе из 20чел, то выясняется на раз, опять же через служебную записку руководству, которое издает соответсвующий приказ по конторе.


У меня есть смутное ощущение, что ТС не является админом сети, о которой мы тут.
Имхо, что то тут не чисто.

Al_lexx писал(а):А что, если известен МАС-адрес и есть сетевой сканер

Ну, судя по всему, ТС не воспользовался этой возможностью.

Al_lexx писал(а):У меня есть смутное ощущение, что ТС не является админом сети, о которой мы тут.
Имхо, что то тут не чисто.

Вполне возможно. А может просто новичок.

pst писал(а):машина негодяя 192,168,1,24

Вот это от куда? Или я что то пропустил?

VoidVolker писал(а):А может просто новичок.

Возможно. Но и даже в этом случае, (мне) совсем не понятно, почему у ТС нет прямого/действеного контакта с руководством, если в сети есть проблемы, связанные с неадекватными движениями некого юзера.
Нет, я не за драконовский контроль, но есть же какие то правила сетевой безопасности (да и просто порядка) и хоть какие то права у того, кто её(их) обеспечивает.

...
Туман, однако. Как минимум.
Как максимум, разводняк, на уровне кулхацкера.
Т.е. перечень заданных вопросов, сам по себе, уже дает повод внимательно присмотреться к ТС, как пользователю и уж тем более, как к админу.

...
Есть устойчивое ощущение, что если не будет внятного пояснения, что и почему, то эт разводняк, на то, что бы что то, у кого то сломать.
Не утверждаю. Просто есть ощущение.

Мне, как админу, за то, что я имею такие ощущение платят деньги. Именно за это, а не за то, что я сертифицирован по всем возможным и невозможным "делам". У меня есть сертификат доверия и этого мнедостаточно. А то, что я не знаю ("человек не может, да и не обязан, знать всё"), я поручаю специально обученным людям, а если сомневаюсь, в последних, то вызываю других (специально обученных), для независимого аудита.
Как то так.

А тут, да, некий "детский сад", с предзаподвыпердом. Все с этого начинают, но кмк, админ, в первую очередь, должен заручится поддержкой руководства. Иначе, это не админ, а контуперный завхоз, по вызову (ничего страшного, просто есть разница).

Al_lexx писал(а):Вот это от куда? Или я что то пропустил?

Просто абстрактный пример днсзаписи ( повторяю: АБСТРАКТНЫЙ! )

Al_lexx писал(а):совсем не понятно

Да, Вы абсолютно правы, в данной ситуации может быть на самом деле всё что угодно! НО! ( повторюсь ) все, что угодно! Да, есть правила, права и методы, но и ситуаций бывает бесчисленное множество. Слава Богу, что Вам ( вероятно ) не довелось быть брошенным на говносеть с говнооборудованием и таким же начальством. Я, например, очень хорошо представляю себе ситуацию, при которой - сунься ТС к гендиру с такой проблеммой - ему быстро найдут замену на какогонить урода, типа того ухаря, который довел сеть до такого состояния. Ведь его главное достоинство было "НЕ ДОСТАВАТЬ РУКОВОДСТВО СВОИМИ ДУРАЦКИМИ ПРОБЛЕММАМИ"!
Может и квалификация ТС не так высока как Ваша, так и еще не известно каких высот он добьется к Вашим годам.
Я призываю не подозревать Abyrvalgа в обескровливании христианских младенцев, а просто поможем человеку, обратившимуся к нам за советом.
Тем более, что ТС справился с проблеммой самостоятельно.

Abyrvalg писал(а):подождал, пока оборудование выключится, и закрыл эту дырку.